Trojan.W32/Slime.B

Alias:
PE_SLIME.B (Trend Micro), Downloader.Slime (Symantec)

Descripción:
Troyano que se ejecuta cuando cualquier otro fichero .EXE es ejecutado. También descarga actualizaciones desde un sitio web que puede ser configurado por el atacante.

Permanece residente en memoria y solamente es operativo en sistemas Windows 95, 98, NT, and XP.

Detalles:
Cuando se ejecuta, realiza las siguientes tareas:

• Descarga los siguientes ficheros en el directorio del sistema de windows (%System%):
  
  
  • RUNDLL.EXE – que algunos fabricantes detectan como PE_SLIME.B-O
  • SYSTEM.EXE – que suele detectarse como DDOS_POPSER.A.
    
    
• Modifica la interpretación de comandos para provocar la ejecución del troyano cada vez que un fichero EXE es ejecutado en la máquina infectada.
  
  
• Tal modificación es realizada mediante los siguientes cambios en los registros indicados:
  
  HKEY_CLASSES_ROOT\exefile\shell\open\command
  @ = "%System%\Rundll.exe "%1" %*"

  HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
  @ = "%System%\Rundll.exe "%1" %*"
  
  

• Cuando un fichero .EXE es ejecutado también se ejecuta el fichero RUNDLL.EXE.
  
  
• La ejecución de RUNDLL.EXE realizará una comprobación para asegurarse de que el troyano no se encuentra entre el código fuente del ejecutable lanzado en primer término, en cuyo caso se añadirá a él.
  
  
• Con cada ejecución intentará descargar un fichero desde el sitio establecido por el autor del troyano para que sea ejecutado al finalizar la descarga.

Solución:

• Uso de antivirus actualizado.

Más información acerca de este virus en:

• Trend Micro
• Symantec

Fuente: red.es